Как создать ботнет за 5 дней или вся правда о программе HLServer
Поскольку товарищ вконтаке продолжает пускать сопли и притворяться невинной целочкой, публикуется более подробный рассказ о том, как пасаны к успеху шли.
Главные действующие лица:
1. vkontakte (он же Mishel)
Страна: Украина
Город: Ильичевск
ICQ: 666848 | 444774444 | 493370973
Сервера: 83.142.105.21:27016 (уже не работает) | 195.93.191.105:27016
Личный IP адрес 195.93.191.6
Профиль: [Ссылки могут видеть только зарегистрированные пользователи. ]
2. ratwayer
Страна: Россия
Город: Киров
ICQ: 289012
Личный IP 89.207.75.107 (вроде сейчас другой)
Профиль: [Ссылки могут видеть только зарегистрированные пользователи. ]
3. pumamd (он же 330863)
Страна: Республика Молдова
Город: Chisinau
Сервера: 95.65.90.91:27025
Личный IP адрес 89.28.17.20
Профиль: [Ссылки могут видеть только зарегистрированные пользователи. ]
Собственно. Что же сделали эти люди ? А сделали они очень хитрую штуку под названием «ботнет»
Короче говоря, Ботнет – это компьютеры пользователей зараженные вирусом. Вирус, они распространяли через MOTD окно, на своих серверах CS 1.6 (основным раздатчиком был сервер 83.142.105.21:7777 На него они перекидывали десятки тысяч игроков со всего мира). Как только человек заходил на сервер, у него сразу вылетала закачка файла-вируса.
Что представляет из себя их вирус ?
Вирус поднимал на зараженном компьютере ~1000 редирект серверов (они автоматически регистрировались на сетмастерах VALVE). Все эти редирект-сервера перенаправляли игроков на раздатчик 83.142.105.21:7777 (позднее на what.gcn.pp.ua:200). Фактически получалась замкнутая цепь и ботнет разрастался в геометрической прогрессии.
Вторая задача вируса – это UDP флуд или другими словами DDoS (можно было настраивать IP PORT, количество потоков и ещё какую-то мелочь)
Кража файлов с зараженных компьютеров (можно было скачивать любые файлы, пароли, ключи, личные документы, сертификаты вебмани, и.т.д.). Тут всё ограничивалось лишь фантазией.
Вирус так же осуществлял автоматический флуд на сетмастера VALVE (именно по этому они не работали)
Следующим шагом было падение SETTI. В связи с этим, код редирект-сервера был переписан так (версии 1.07), чтобы сканер сетти их не палил, оставалось сделать только регистрацию на сетти (как выяснилось в дальнейшем, они хотели сделать авто-скрипт).
Так же, вирус поднимал на компьютере игрока прокси-сервер (HLproxy). Товарищ ratwayer, в [Ссылки могут видеть только зарегистрированные пользователи. ] как раз привел список зараженных компьютеров xD
Сам вирус написал ratwayer. Идея создания ботнета принадлежит vkontakte. Pumamd крутился на подхвате.
Т.к. товарищ ratwayer поленился защитить данные в самом вирусе, вся информация, команды и схема работы были получены очень быстро. Управлять ботнетом можно было только с четырех IP (83.142.105.21 | 95.65.64.90 | 89.207.75.107 | 127.0.0.1). Хочу заметить, что на IP 95.65.64.90:27010 и 95.65.64.90:1337 располагались сервисы, на который приходила информация от зараженных компьютеров. Именно так они узнавали IP адреса компьютеров в ботнете.
Основная цель всего мероприятия – это заработок денег.
Хочешь раскрутить свой сервер, платишь им денюжку (200р неделя | 500р месяц | 2500р “Вечная” раскрутка). Если вы с чем-то не согласны, много пантуетесь или ваш сервер хорошо поднимается в рейтингах (без их участия), они его просто Досят со своего ботнета. Если кто-то заказывает ваш сервер за $, то его тоже Досят. Как выяснилось в дальнейшем, планы у них были грандиозные... Т.е. фактически, хотели взять все топовые сервера “Под колпак” и рулить их рейтингами, сшибая бабло. В итоге, всем нормальным админам, оставалось довольствоваться объедками с барского стола и держать пустые сервера, в то время, как все игроки кидались через их редиректы на раскручиваемые сервера.
Когда товарищ vkontakte потерял свой IP 83.142.105.21 (только с него он мог управлять ботнетом), провайдер выдал ему другой IP 195.93.191.105 и всё управление перешло в руки pumamda. В связи с этим, началось создание ещё одного ботнета, был написан новый вирус и распространялся он так же, через MOTD окно, но уже с большого количества серверов (товарищ vkontakte подключил своих друзей/админов, чтобы они поставили на свои сервера MOTD с закачкой вируса). Представьте себе, каким надо быть уродом, чтобы распространять вирус своим же игрокам!
Вот видео всего процесса (показана раздача вируса через друзей товарища vkontakte):
Также ко мне в руки попала вся история переписки товарища vkontakte (из квипа и скайпа). Т.к. она весит более 40 мегабайт и содержит много информации личностного характера, пароли к форумам, ссылки на вирусы, списки серверов с украденными RCON, переписки с покупателями, публиковаться в полном объеме она не будет.
Безусловно, вся переписка, между (vkontakte, ratwayer и pumamd) была изучена, для выявления уязвимых мест в ботнете и дальнейшего его закрытия. Ниже, я приведу ряд цитат:
"Помимо редиректа надо еше и геймменю менять!":
Цитата:
vkontakte 14:32:03 1/12/2010 терь про хлсерв , там не помешало бы сделать отправку многострочного редирет пакета)) чтоб геймменю менять всем))))) будешь реализовывать?
ratwayer 14:32:44 1/12/2010 не получится.. < #$30 коды не поддерживает клиент в непакованном формате.. =\
vkontakte 14:32:51 1/12/2010 ок
vkontakte 14:33:23 1/12/2010 терь у меня просьба, сделай мне билд с привязкой не по компу а по айпи адрессу для редиректа, тоесть мой, короче весь конфиг вшей в прогу
vkontakte 14:33:42 1/12/2010 и распространю эту прогу очень хорошо и будет очень много прокси а не 10 шт как щас
ratwayer 14:33:43 1/12/2010 сорри, такие билды не делаю..
ratwayer 14:34:18 1/12/2010 и кстати
vkontakte 14:34:18 1/12/2010 та только для меня, яж не прошу ничего невероятного, весь конфиг вшитый в прогу
ratwayer 14:34:23 1/12/2010 проксей сейчас очень много =)
ratwayer 14:34:27 1/12/2010
77.50.158.209:60239
85.113.150.183:60239
89.179.240.119:60239
94.198.238.122:60239
95.29.59.168:60239
95.65.45.151:60239
178.162.176.106:60239
178.252.111.26:60239
178.32.71.78:60239
213.64.57.23:64511
78.30.224.65:60239
81.18.67.241:60239
81.18.67.242:60239
81.18.67.245:60239
89.255.130.123:60239
92.62.61.116:60239
78.152.169.25:60239
89.179.242.85:60239
92.80.111.145:10148
95.31.132.28:60239
"О эффективности подсадки:"
Цитата:
vkontakte 14:34:35 1/12/2010 это не много
vkontakte 14:34:48 1/12/2010 я за сутки троянов 500 людям подсадил
ratwayer 14:35:13 1/12/2010 а хаксоры? они могут подменить этот ип и вся репутация станет фейлом =\
vkontakte 14:35:23 1/12/2010 и всётаки?
vkontakte 14:35:28 1/12/2010 хаксоры? смсле?
ratwayer 14:36:02 1/12/2010 не думаю, что следует делать такое... =\
ratwayer 14:36:03 1/12/2010 а хотя
ratwayer 14:36:05 1/12/2010 у меня идея
vkontakte 14:36:11 1/12/2010 кто подменять будет? я хочу сделать инсталятор со скрытой установкой и пихать игрокам чтоб устанавливали и прога прописывалась в автозагрузку!!!
ratwayer 14:36:16 1/12/2010 а что, если тебе сделать прокси в отдельном *.exe?
vkontakte 14:36:22 1/12/2010 никто даже не прошарит там задроты играют а не хакеры
ratwayer 14:36:28 1/12/2010 а если игрок будет элитным хаксором?
ratwayer 14:36:33 1/12/2010 он возьмет и сломает прогу =)
vkontakte 14:36:55 1/12/2010 ну ты придуймай чтот по защите? можно ведь?
ratwayer 14:37:07 1/12/2010 на сервере 32/32 4 игрока знали по хлбрут =)
ratwayer 14:37:14 1/12/2010 можно, но не нужно =)
ratwayer 14:37:20 1/12/2010 хотя
ratwayer 14:37:26 1/12/2010 я подумаю.. может быть, что-то придумаю
vkontakte 14:37:53 1/12/2010 ну блин нужен только редиректы, и тебе прокси
vkontakte 14:38:05 1/12/2010 весь остальной функционал в топку
vkontakte 14:38:18 1/12/2010 можешь даже сделать что прога будет работать только в скрытом виде
vkontakte 14:38:27 1/12/2010 придумать есть что
ratwayer 14:38:35 1/12/2010 ...хм..
vkontakte 14:39:09 1/12/2010 я просто хочу чтоб от игроков уже был толк
vkontakte 14:39:23 1/12/2010 заколебался у ся 9к серверов держать*ROFL*
ratwayer 14:39:39 1/12/2010 кстати
ratwayer 14:39:48 1/12/2010 как ты собираешься заливать малварь? )
vkontakte 14:40:23 1/12/2010 да втупую через мотд окно, им только запустить нажать одну кнопку
vkontakte 14:41:04 1/12/2010 я же говорю я кейлогер за почти сутки челам 450 запустило у меня мыло до сих пор рвёт от логов
"О методах закачки бота:"
Цитата:
ratwayer 14:49:19 1/12/2010 кстати
ratwayer 14:49:27 1/12/2010 у меня тут идея
ratwayer 14:49:37 1/12/2010 я тут прочитал одну статью
ratwayer 14:49:41 1/12/2010 про кмд файлы
vkontakte 14:49:43 1/12/2010 и?
ratwayer 14:49:44 1/12/2010 на кснетуа
ratwayer 14:49:59 1/12/2010 там написано, что можно заливать клиенту *.exe, а запускать их путем кмд файла
ratwayer 14:50:13 1/12/2010 c-s.net.ua
vkontakte 14:50:25 1/12/2010 слушай ето не твоя задача
vkontakte 14:50:27 1/12/2010 )))
ratwayer 14:50:35 1/12/2010 мне это надо знать =)
vkontakte 14:50:37 1/12/2010 через мотд окно можно закачать любой файл!
vkontakte 14:50:50 1/12/2010 смсла через игру закачивать я не вижу
vkontakte 14:50:55 1/12/2010 я уже все перепробывал
ratwayer 14:51:04 1/12/2010 precache_generic? =)
vkontakte 14:51:29 1/12/2010 лучший вариант чтоб всем кто заходит сразу закачивался екзешник и чмд или что там еще и челу тупо надо нажать открыть и всё
"Надо бы удп флудер прикрутить:"
Цитата:
vkontakte 22:25:30 3/12/2010 просто вот подумал можно же еще юдп флудер прикрутить
vkontakte 22:25:54 3/12/2010 и типо если нужно послал команду на десяток активных прокси флудить тот или иной серв
vkontakte 22:25:58 3/12/2010 и трындец тому серву
ratwayer 22:26:14 3/12/2010 добавлю =)
vkontakte 22:26:25 3/12/2010 давай будем тестить у меня есть враг
vkontakte 22:26:27 3/12/2010 админ сетти
vkontakte 22:26:32 3/12/2010 его серв первый пострадает
ratwayer 22:27:02 3/12/2010 завтра буду писать обновление =)
"Убиваем фортим и Ракуна:"
Цитата:
vkontakte 15:17:25 4/01/2011 даю рконы свежие
ratwayer 15:17:29 4/01/2011 ок
vkontakte 15:18:30 4/01/2011 меньше суток им
vkontakte 15:19:07 4/01/2011 фейкботс тема)
ratwayer 15:19:12 4/01/2011 тестировал флуд на фортиме. сервер лег тут же под давлением 15 клиентов
vkontakte 15:19:17 4/01/2011 ггг
vkontakte 15:19:26 4/01/2011 а я ща серв ракона фейками убиваю)
ratwayer 15:23:20 4/01/2011 кстати, как ракоон реагирует на обстановку?
ratwayer 15:23:21 4/01/2011 никак =\
vkontakte 15:23:27 4/01/2011 я ему не говорю
vkontakte 15:23:32 4/01/2011 он же меня забанит на форуме
"Пасаны к успеху идут:"
Цитата:
vkontakte 15:38:22 4/01/2011 просто реально скокро будем крутить всю первую страницу гейтрекера гг
ratwayer 15:38:27 4/01/2011
vkontakte 15:38:40 4/01/2011 там все между собой знакомы админы и говорят про меня гг
vkontakte 15:38:56 4/01/2011 просто боятся что в сетти забанят гг
vkontakte 15:39:12 4/01/2011 как я понял ниодного серва со 100% честным онлайном
vkontakte 15:39:20 4/01/2011 все както крутятся
"фэйкплееры не пашут :"
Цитата:
vkontakte 19:34:11 4/01/2011 _http://c-s.net.ua/forum/topic24820.html?view=findpost&p=202944
vkontakte 19:34:14 4/01/2011 *ROFL*
vkontakte 19:35:02 4/01/2011 прочитал?)
ratwayer 19:37:11 4/01/2011 да =)
ratwayer 19:37:19 4/01/2011 у него дпрото 0.9.*?
vkontakte 19:37:26 4/01/2011 скорее всего
vkontakte 19:37:33 4/01/2011 ща проверю
vkontakte 19:37:44 4/01/2011 будут еще пахать фейки или нет
vkontakte 19:39:50 4/01/2011 проверил
vkontakte 19:39:55 4/01/2011 не пашут боты терь у него
ratwayer 19:40:21 4/01/2011 какая у него версия дпрото? =)
vkontakte 19:40:32 4/01/2011 ща зайду гляну
vkontakte 19:40:53 4/01/2011 2 dproto_EF, v0.9.87, 2010-10-26, by Crock, see
ratwayer 19:41:04 4/01/2011 ухты, работает на новом дпрото
vkontakte 19:41:09 4/01/2011 нуда
vkontakte 19:41:15 4/01/2011 я на своем втором серве проверрял
vkontakte 19:41:21 4/01/2011 ботов кикает через пару сек
ratwayer 19:41:22 4/01/2011 кстати
ratwayer 19:41:30 4/01/2011 почему у меня не коннектится к серверу пумамда?
ratwayer 19:41:33 4/01/2011 *к серверу проксей
"Планы по засиранию сетти:"
Цитата:
ratwayer 21:33:54 4/01/2011 я думаю, что смогу написать автодобавленние в сетти
ratwayer 21:33:54 4/01/2011 даже с защитой от ботов
vkontakte 21:34:04 4/01/2011 хм)
ratwayer 21:34:26 4/01/2011 криво, конечно, будет работать. но будет. =)
vkontakte 21:34:49 4/01/2011 нам пофиг лижбы искал и добавлял редиректы в огромных количествах рандомно
vkontakte 21:34:59 4/01/2011 чтоб они бюыстро опустили руки свои и не боролись
ratwayer 21:37:35 4/01/2011 за 3 минуты написать автодобавление в сетти
vkontakte 21:37:36 4/01/2011 я в тебя верю гг
ratwayer 21:37:41 4/01/2011 уже сделал =)
vkontakte 21:37:53 4/01/2011 так а теперь алгоритм
vkontakte 21:38:05 4/01/2011 чтоб получать списки ботов
ratwayer 21:38:14 4/01/2011 короче, там делается реверс переменной, отправляющейся в 1 пакете
vkontakte 21:38:16 4/01/2011 и рандомно добавлять редиректы
ratwayer 21:38:24 4/01/2011 после реверса отправляю ее в качестве кукиса
ratwayer 21:38:29 4/01/2011 и сервер добавляется
vkontakte 21:38:34 4/01/2011 по 100 штук рандомных с одного бота хватит думаю
vkontakte 21:38:45 4/01/2011 ты меня понял?
ratwayer 21:38:46 4/01/2011 на сетти будет засылаться 4 редиректа.
ratwayer 21:38:50 4/01/2011 для начала хватит
vkontakte 21:38:54 4/01/2011 по 4 с каждого хлсерва?
ratwayer 21:38:59 4/01/2011 надо раскруткой заниматься, а не падением сети
"О командах бота:"
Цитата:
vkontakte 17:32:31 6/01/2011 так дай мне команды ,а то ночью хоть поигратся можного кроме как крутить сервера гг
ratwayer 17:32:37 6/01/2011
addslot
delslot
path
filedump
filetree
setti_register
get_ip
register
ratwayer 17:32:44 6/01/2011 первые две для прокси
ratwayer 17:32:52 6/01/2011 path - путь к HLE клиенту
ratwayer 17:33:08 6/01/2011 filedump/filetree - работа с файлами
vkontakte 17:33:08 6/01/2011 гет ип?
ratwayer 17:33:20 6/01/2011 setti_register - зарегистрировать введенный IP в сетти
vkontakte 17:33:24 6/01/2011 файлтри ето дерево файловой системы показывает?
ratwayer 17:33:27 6/01/2011 get_ip - узнать IP покси
ratwayer 17:33:28 6/01/2011 *прокси
ratwayer 17:33:29 6/01/2011 да
vkontakte 17:33:35 6/01/2011 нормально так)
ratwayer 17:34:24 6/01/2011 register - вроде как зарегистрировать HLE клиент на выбранном мастере
"О дележке бабла:"
Цитата:
vkontakte 00:55:25 7/01/2011 на ботнете можно норм иметь__ я так расчитую что будет постоянно 50 сервов которые будут покупать понедельно раскрутку ето по 200 с каждого плюс есть и будут те кто захочет купить вечную раскрутку
ratwayer 00:55:42 7/01/2011 как делить $$$ будем? =)
vkontakte 00:55:57 7/01/2011 вроде ето обсуждали гг
ratwayer 00:56:06 7/01/2011 50 на 50, вроде бы?
vkontakte 00:56:25 7/01/2011 ну да я согласен чо ты чтоли против?
"Вот уже и бот, работающий с сетти распространяется:"
Цитата:
vkontakte 18:40:34 7/01/2011 вылаживай хлсерв в пблик
vkontakte 18:40:39 7/01/2011 без привязки
ratwayer 18:40:39 7/01/2011 зачем? =)
ratwayer 18:40:44 7/01/2011 >__<
vkontakte 18:40:54 7/01/2011 ну ок через месяц вылаживай
vkontakte 18:40:58 7/01/2011 я продавать уже не буду
ratwayer 18:41:03 7/01/2011 ну.. ок =)
vkontakte 18:41:45 7/01/2011 или можето выложи всётаки
vkontakte 18:41:50 7/01/2011 с рекламой услуги по раскрутке
vkontakte 18:41:54 7/01/2011 гг
ratwayer 18:42:27 7/01/2011 как сетти распространится (сетти поддержка в HLE) - прорекламирую
vkontakte 18:42:36 7/01/2011 акей
vkontakte 18:42:43 7/01/2011 сетти сайт оффнут со вчера
vkontakte 18:42:55 7/01/2011 так что нифига не распространяется гг
ratwayer 18:43:03 7/01/2011
vkontakte 18:43:08 7/01/2011 они прохавали мб весь движ?гг
ratwayer 18:43:19 7/01/2011 не думаю =)
"Пасана досанули первый раз, но он намека не понял. А еще про вынос mvpro:"
Цитата:
vkontakte 18:50:18 10/01/2011 у меня продолжается
vkontakte 18:50:24 10/01/2011 тот ип до сих пор ддосят
ratwayer 18:50:38 10/01/2011 кстати, да. у тебя есть возможность отловить пакеты?
vkontakte 18:50:38 10/01/2011 в киеве сдох маршрутизатор и мой ип законвертировали
vkontakte 18:50:49 10/01/2011 мне щас дали временно другой ип
vkontakte 18:50:54 10/01/2011 что ловить то?
ratwayer 18:51:07 10/01/2011 пакеты UDP. если там будет connect 8===3, то это ботнет
vkontakte 18:51:33 10/01/2011 давай делай новый билд етой фигни ..мне нужен доступ..и пуме не делай он досит все подряд щас лежит серв мвпро топ2 мировой
"Хостинги идиоты! не дают вирусню распространять!:"
Цитата:
vkontakte 18:15:20 12/01/2011 скоро наверно на хостингах сделают что нельзя будет ставить мотд окно с таким кодом гг
ratwayer 18:15:33 12/01/2011
vkontakte 18:16:08 12/01/2011 _http://www.gametracker.com/server_info/91.218.231.33:27015/
vkontakte 18:16:13 12/01/2011 смотри что пума наворил)
vkontakte 18:16:16 12/01/2011 ддосом)
vkontakte 18:16:31 12/01/2011 полтора суток в оффе)
ratwayer 18:17:30 12/01/2011 скажи пуме, чтобы сильно этим не увлекался. или, хотя бы, не замешивал меня в это =)
vkontakte 18:17:46 12/01/2011 я ему говорил
vkontakte 18:17:52 12/01/2011 на меня тоже вешают
Это лишь малая доля информации. Есть много интересной инфы, которая будет полезна администрации фортима =) До глубины души поражает цинизм и обилие вранья, которое они выгружают на форумы. Поражает то, как эти люди общаются друг с другом, строят планы по захвату миру, обожествляют себя, продают дурачкам-админам нерабочий софт. Порой волосы вставали дыбом от их писанины... И что самое печально, их ботнет окончательно засрал сетмастера и этот процесс необратим, потому что вирус с компьютеров игроков могут удалить только сами игроки.
[Ссылки могут видеть только зарегистрированные пользователи. ]
Re: Как создать ботнет за 5 дней или вся правда о программе HLServer
Я не ожидал такого поворота событий.
прогу уже удалил к черту)
Добавлено через 11 часов 42 минуты
да и еще вопрос, они досих пор имеют доступ к ботнету? или уже нет , ведь кто то пользуеться ХЛсервером, то есть их еще не покорали за такое?
________________
Самое лучшее в добрых делах это желание их утаить
Последний раз редактировалось Skiffy; 03.04.2011 в 18:24.
Причина: Добавлено сообщение